sudoの脆弱性情報(Important: CVE-2019-18634)

2020.02.19

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

01/29/2020にsudoの脆弱性情報(Important: CVE-2019-18634)が公開されていました。遅くなりましたが、今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

Priority

CVE番号影響するバージョンPriorityCVSS Score / CVSS Vector
CVE-2019-18634sudo <= 1.8.29

NVD: 7.8 High

NVD: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18634
    • pwfeedbackが有効になっている場合のバッファーオーバーフローの可能性
    • 1.8.26までのsudoでは、pwfeedbackが/etc/sudoersで設定されている際に特権で動作しているsudoプロセスでバッファーオーバーフローが発生する可能性が有ります。
    • pwfeedbackは、ユーザがパスワードを入力する際に入力が行われているかを可視化するオプションで、パスワードを入力すると下記のようにアスタリスクが表示されます。
      
[sudo] sios のパスワード:*****

      pwfeedbackが有効になっているかは、”-l”オプションを付けてsudoを動作させて”pwfeedback”が表示されるか否かで確認できます。例えば、通常Debianでは”pwfeedback”は無効になっているので

      
[sudo] ka-omo のパスワード:
既定値のエントリと照合中 (ユーザー名 sios) (ホスト名 localhost):
env_reset, mail_badpass
secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin
ユーザー sios は localhost 上で コマンドを実行できます
(ALL : ALL) ALL

      と表示されますが、/etc/sudoersでpwfeedbackを敢えて有効にすると

      
Defaults	mail_badpass
Defaults	pwfeedback     <--- 追加

      "-l"オプションの出力は

      
[sudo] ka-omo のパスワード:
既定値のエントリと照合中 (ユーザー名 sios) (ホスト名 localhost):
env_reset, mail_badpass,pwfeedback    <--- pwfeedbackが有効になっている
secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin
ユーザー sios は localhost 上で コマンドを実行できます
(ALL : ALL) ALL

      と表示されます。

    • 迂回方法:"Defaults pwfeedback"となっている場合には、"Defaults !pwfeedback"としてpwfeedbackを無効にすることで脆弱性を迂回できます。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

セキュリティ系連載案内

タイトルとURLをコピーしました